Los piratas informáticos estatales de Corea del Norte atrapados en estafas BEC


Corea del Norte-según se informa-estola-2b-en-ola-5d4d934316e22d00012a3ac5-1-agosto-13-2019-12-43-01-poster.jpg

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

En el Mundo digital de ESET El martes, los investigadores de seguridad del fabricante de antivirus eslovaco ESET revelaron una nueva operación orquestada por los infames equipos de hackers patrocinados por el estado del régimen de Pyongyang.

Codificado «Operación In (ter) ception«, esta campaña se dirigió a víctimas por ciberespionaje y robo financiero.

Hablando en una transmisión en vivo a una audiencia de miles, el investigador de seguridad de ESET Jean-Ian Boutin dijo que los ataques han sido llevados a cabo por miembros del Grupo Lázaro – nombre en clave dado por las empresas de seguridad a la unidad de piratería más grande de Corea del Norte, parte del servicio de inteligencia del país.

Ataques dirigidos a compañías aeroespaciales y militares europeas

Boutin describió cómo los miembros de Lazarus utilizaron perfiles de reclutador de empleo de LinkedIn y mensajes privados para acercarse a sus objetivos. Con el pretexto de realizar una entrevista de trabajo, a las víctimas se les dieron archivos para abrir y ver los archivos almacenados en el inside que supuestamente contenían salario y otra información sobre sus futuros trabajos.

El investigador de ESET dice que estos archivos contenían archivos infectados con malware que permitieron a los atacantes obtener un punto de apoyo inicial en la computadora de la víctima.

interception-scheme.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/06/17/32d646c1-6485-4896-8d54-876246713271/interception-scheme.png

Imagen: ESET

Boutin dice que una vez que una víctima se infecte, el hacker de Lazarus detendrá el proceso de entrevista, le dirá a la víctima que no consiguió el trabajo y eliminará el perfil de LinkedIn inmediatamente después.

Pero en la computadora del empleado infectado, los piratas informáticos continuarían operando utilizando su punto de apoyo inicial y expandirían su acceso dentro de la pink de la compañía pirateada.

«Descubrimos que los atacantes consultaron al servidor Advertisement (Energetic Listing) para obtener la lista de empleados, incluidas las cuentas de administrador, y posteriormente realizaron ataques de fuerza bruta con contraseña en las cuentas de administrador», dijo Boutin.

ESET dijo que, basándose en malware específico para la «Operación en (ter) ceptivo» que encontraron, estos ataques parecen haber tenido lugar entre septiembre y diciembre de 2019.

Los objetivos generalmente incluían empleados que trabajaban en compañías aeroespaciales y militares europeas, la mayoría de las cuales fueron abordadas con ofertas de trabajo falsas en compañías competidoras o de alto perfil.

BEC intentos de estafa

Pero Boutin dijo que una vez que los piratas informáticos reunieron toda la inteligencia y los archivos de datos patentados que necesitaban de una empresa pirateada, la intrusión no se detuvo allí. En lugar de borrar sus huellas, los piratas informáticos intentaron estafar a los socios comerciales de la empresa infectada.

Boutin dijo que los piratas informáticos de Lázaro hurgaron en las bandejas de correo electrónico de las empresas pirateadas y buscaron facturas impagas.

«Continuaron la conversación e instaron al cliente a pagar
sin embargo, la factura a una cuenta bancaria diferente a la acordada anteriormente «, escribió el equipo de ESET en un informe publicado hoy (PDF)

El intento de defraudar a los clientes de la víctima, también conocido como una estafa de compromiso de correo electrónico comercial (BEC), fue frustrado, dijo ESET, ya que los socios comerciales generalmente notaron algo extraño en los correos electrónicos de seguimiento de los piratas informáticos.

En el gran esquema de las cosas, esto no es sorprendente, ya que los piratas informáticos norcoreanos se han involucrado repetidamente en robos cibernéticos durante los últimos tres años, dirigidos a bancos e intercambios de criptomonedas.

En septiembre de 2019, el Departamento del Tesoro de los Estados Unidos impuso sanciones a las entidades asociadas con las unidades de piratería de Corea del Norte, alegando que el país estaba utilizando sus grupos de piratas informáticos para robar dinero y recaudar fondos para los programas de armas y misiles de Pyongyang.

Además, el uso de LinkedIn para acercarse a objetivos ha sido una vieja táctica empleada por hackers norcoreanos. En enero de 2019, los mismos hackers de Lazarus usaron mensajes de LinkedIn para contactar a los empleados que trabajan en el sector bancario y organizar entrevistas de trabajo a través de Skype, donde las víctimas recibieron archivos con malware. Así es como los investigadores de seguridad creen que los piratas informáticos norcoreanos violaron Redbanc, la compañía que interconecta la infraestructura de cajeros automáticos de todos los bancos chilenos.



Enlace a la noticia primary